Windows Server Update Services (WSUS) は Windows Server オペレーティング システムのコンポーネントで、OS と Windows ソフトウェアをスキャンして、更新やパッチ適用が必要かを判断する無料のツールです。 便利なツールではありますが、機能的には限界があります。 ネットワーク上のすべてのコンピュータにある多数のソフトウェアにパッチやアップデートを適用しようとする場合、複数のプログラムを介するのは苛立たしいことです。

Windows Server Update Services は、幸いにも、すべてのパッチ適用プロセスを 1 つの集中ダッシュボードに統合するソフトウェアなど、別のパッチ管理ツールで簡単に補完することが可能です。 IT 環境が複雑化するにつれて、管理者は更新とパッチ管理をよりよく制御するために、これらの WSUS 代替ツールをますます利用するようになっています。 あなたのビジネスに最適なソリューションを見つけるために、最高のWindowsアップデート・ツールを含むWSUS代替パッチ管理ソフトウェアのピックアップをまとめました。

WSUS 代替パッチ ツールのレビューへジャンプします。

1. 1. SolarWinds Patch Manager
   2. ManageEngine Patch Connect Plus
   3. Kaseya VSA
   4. PDQ Deploy
   5. Ivanti PatchLink
   6. BatchPatch

WSUS とは何か

WSUS とは？

Windows Server は、企業レベルのシステムおよびネットワークで使用するために Microsoft によって作成されたサーバー オペレーティング システムです。

Windows Server に含まれる Windows Server Update Services は、ソフトウェア更新機能で、自動的にオペレーティング システムと Microsoft ソフトウェアを調べ、どのアプリケーションまたはツールが更新または修正プログラムを必要とするかを判断します。

WSUS は、更新の集中管理と更新管理プロセスの自動化という 2 つの主要分野で役に立ちます。 ソフトウェアの更新を検出し、Microsoft のサーバーから中央リポジトリにダウンロードし、管理者が必要に応じて更新を承認またはブロックする能力を提供します。 管理者は、特定のアップデートを優先し、その他のアップデートを手動で承認するオプションがあります。 パッチやアップデートのチェックとインストールとは別に、WSUS はデバイスごとに利用可能なアップデートに関するレポートを作成し、ネットワーク内の Microsoft ソフトウェアの包括的なインベントリを提供します。

パッチアップデートの重要性

アップデートとパッチ管理は、セキュリティ、パフォーマンス、コンプライアンスの3つを主としたさまざまな理由でネットワーク機能に不可欠です。 マルウェアはセキュリティ ホールを悪用するように作られており、1 つのデバイスが感染すると、そのユーザーは簡単に他のデバイスに感染させることができます。 言い換えれば、企業がマルウェアに感染してしまうと、他のサービス・プロバイダーやユーザー、クライアントにも感染させてしまう可能性があるのです。 これは、企業の運営上大きな問題であるだけでなく、企業の評判にも大きな悪影響を与えかねません。 パッチやアップデートは、そのようなセキュリティホールを塞ぎ、マルウェアに狙われないようにするためのものです。 その後、ユーザーは実際にパッチを適用する必要があります。 場合によっては、脆弱性が発見されたその日に、パッチが開発され適用される前に、攻撃者がシステムを攻撃しようとすることがあります。 これはゼロデイ攻撃と呼ばれています。 攻撃者とソフトウェア企業は、誰が最も早く脆弱性を悪用または修正できるかを競っています。

脆弱性が発見されてから、脆弱なデバイス（つまり、まだアップデートされていないデバイス）の数が重要でなくなるまでの期間は、脆弱性の窓と呼ばれています。 ソフトウェアや OS のメーカーは、このウィンドウをできるだけ小さくしようとします。

Performance Patches

ソフトウェアの更新やパッチは、セキュリティ上の理由から重要なだけでなく、ソフトウェアのパフォーマンスを向上させるものでもあります。 それらはしばしば、より新しい、またはより優れた機能を含んでいたり、以前にはなかった他のツールやアドオンによる追加機能を含んでいたりします。 多くの場合、アップデートはユーザーエクスペリエンスを向上させるために発行されており、ソフトウェアをアップデートしていない場合、素晴らしい機能を逃してしまう可能性があります。 さらに、バグに対処するために発行されたアップデートやパッチは、組織の効率を大幅に改善します。

Compliance Patches

機密または個人データを扱う場合は、コンプライアンスの義務を満たしていることを確認する必要があります。 たとえば、健康や金融に関するデータが安全に保管されていることを示す必要があるかもしれません。また、このセキュリティの一環として、ソフトウェアが常に更新されていることを示すことも重要です。 私が選んだ WSUS 代替製品の多くは、パッチ レポートまたは WSUS レポートを作成する機能を備えており、監査人にコンプライアンスを証明するのに役立ちます。

Patch Deployment

パッチを適用するタイミングは非常に重要です。 セキュリティの脆弱性はすぐに悪用される可能性があり、多くの場合、パッチまたはホットフィックスをできるだけ早くインストールすることが重要です。 しかし、大規模なネットワークでトラフィックが多い場合、パッチをすぐに適用するのは得策ではないかもしれません。 パッチ適用に使用される帯域幅は、通常のネットワーク トラフィックと競合し、通常のトラフィックのスループットが低下します。

Patch Quality

パッチの品質も重要です。 パッチがテストされていない場合、他の追加コードと同様に、パッチに独自のセキュリティ脆弱性やバグが含まれている可能性があります。

WSUS の制限事項

WSUS は、オペレーティング システムと Windows ソフトウェアをスキャンし、パッチや更新が必要かどうかを判断し、必要な修正を実行します。 この無料のパッチ ツールは、Windows Server に追加することができ、IT 管理者は、各デバイスを 1 つずつ処理するのではなく、ネットワーク全体にパッチを適用することが可能です。 WSUSは、アップデートやパッチ以外にも、帯域管理、ネットワーク最適化、レポート機能、多言語対応などの機能を提供している。 一般に、WSUS は中小企業にとって有用です。

WSUS がこの文脈でうまく機能するのと同様に、その機能性におけるギャップは、他のサードパーティ製または Windows サーバーパッチングツールで埋めることができます。 WSUS の代替ツールの 1 つは System Center Configuration Management (SCCM) と呼ばれるもので、WSUS と共に動作し、Windows システムを安全かつ健全に機能させるパッチ適用ツールです。 SCCM は一般に企業レベルのネットワークで使用され、Windows NT、Windows IoT、Mac OS X、Linux または UNIX、およびいくつかのモバイル オペレーティング システムなど、より幅広いオペレーティング システムで機能します。 SCCM は、パッチ管理、ソフトウェア配布、システム展開、およびデバイスとネットワーク アクセス保護ツールのリモート コントロールなどのサービスを提供します。

しかしながら、これらのツールはどちらもワンストップ ショップではありません。 また、OS や Windows アプリケーションの処理と同時にサードパーティ製アプリケーションを更新したい場合は、パッチ管理および更新管理ツールを導入することが有益です。

Back to top

Best WSUS Patch Management Tools

このセクションでは、WSUS および SCCM にリンクし、一元的ソリューションでソフトウェアのパッチおよび更新ができる最高の Windows 更新ツールを見ていきます。 時間とエネルギーの節約に加え、優れた Microsoft WSUS 代替品は、ネットワークとその上のデバイスの明確な概要を提供します。無料の WSUS 代替品はほとんどありません。 ほとんどの場合、WSUS の代替品を探している企業は、プレミアム ソリューションにお金を払う必要があります。 このため、このリストにあるすべてのツールは、最終的に投資が必要になります。

1. SolarWinds Patch Manager

SolarWinds® Patch Manager は、私のお気に入りの WSUS パッチ管理ツールです。 高度に自動化された機能セット、レポート機能、集中型ダッシュボード ビュー、および強力なパッチ管理能力を使いやすいパッケージで提供します。 Windows デスクトップとサーバーのパッチ適用には、数日とは言わないまでも、数時間かかることがあります。 Patch Manager では、Adobe、Apple、Google、Mozilla、Oracle などの主要ベンダーのアプリケーション用にあらかじめ構築されテストされたパッチを使用することにより、この時間を数分の単位で短縮できます。 問題が発見されたときに自動的にパッチを適用してネットワークのセキュリティを向上させたり、ネットワークのダウンタイムまたは夜間にパッチを適用してネットワークの中断を軽減したりするように設定することができます。 例えば、異なるビジネス ユニットやターゲット ノードに対して個別のパッチ適用スケジュールを設定できます。

Patch Manager は WSUS と SCCM の両方を統合し、その機能を拡張して、動的なパッチ管理、更新、スケジュールされた再起動とパッチ、WSUS レポート、およびその他のサービスを集中ダッシュボードで利用できるようにします。 Windowsパッチやシステムアップデートをサードパーティーソフトウェアのパッチやアップデートと同時に適用できるため、時間の節約になり、ネットワークデバイス全体のパッチ状況を幅広く把握することができます。 また、この一元的なパッチ適用システムは、WSUSの更新が正しく適用されたかどうかを判断し、問題があれば修正する作業にも役立ちます。 さらに、PackageBoot と呼ばれる機能により、パッチが正常に展開されることを確認するための展開前および展開後のシナリオを作成できます。

コンプライアンスのために、Patch Manager は WSUS レポートを含む幅広いレポートを提供し、要件を満たしていることを監査人や関係者に容易に示すことができます。 WSUS や SCCM と連携するために必要なすべてのツールが含まれており、サードパーティのアプリケーションと連携してシステム全体を安全に保つこともできます。

SolarWinds Patch Manager の最大 30 日間の無料試用版をダウンロードすることができます。 また、WSUS設定の検証、WSUS接続のテストと障害原因の特定、WSUSエラーの修復方法を提案するWSUSクライアント診断ツール、SolarWinds無償WSUSオルタナティブもご覧ください。 この WSUS 代替ツールは診断に限定されており、Patch Manager のプレミアム機能は含まれていませんが、基本的なパッチ管理に役立つ軽量ダウンロードです。

1. ManageEngine Patch Connect Plus

ManageEngine による Patch Connect Plus は高品質の代替 Windows 更新ツールで、SCCM だけではなくサード パーティ アプリケーションでも使用可能です。 SCCM と完全に統合され、サードパーティの自動パッチを提供します。

パッチが WSUS ライブラリに公開されると、Patch Connect Plus は WSUS と SCCM が同期していることを確認し、SCCM コンソールがパッチにアクセスできることを確認します。 そして、これらのパッチを関連するシステムに自動的に配備することができます。 パッチが配布されると、Patch Connect Plusは、同期状態、公開状態、新たにサポートされたアプリケーション、パッチ証明書の有効期限、および配布タスクの失敗について報告します。

このツールは、サードパーティ製アプリケーションを更新するだけでなく、SCCM コンソールを通じてインストールおよび管理できるように開発されています。 アプリケーション管理機能は、利用可能なサードパーティ製アプリケーションのリポジトリを提供し、事前定義されたアプリケーション テンプレートと、展開前および展開後のスクリプトの両方を提供します。 テンプレートには、アプリケーションがスタート メニュー アイコン、タスク バー アイコン、またはデスクトップ ショートカットを持つことを制限するなどのアクションや、古いパッチをアンインストールするオプションが含まれます。

利用できるサード パーティの更新プログラムは、独自のタブで表示できるので、情報に圧倒されることはないでしょう。 しかし、このリストを参照したい場合は、簡単に見つけることができます。

ネットワーク上のすべてのアプリケーションとデバイスにパッチを適用する際に最も時間がかかる部分の 1 つは、それぞれを調べて選択し、プロセスを開始することです。 Patch Connect Plus には自動検出機能があり、ネットワークに新しく追加されたアプリケーションを調べ、それらのアプリケーションのパッチを自動的に公開します。

最後に、最近の更新がないコンピュータ、不完全または失敗したパッチがあるコンピュータに関する包括的なレポートを表示することができます。 これらの詳細なレポートは、サード パーティ製パッチの展開の完全な概要を提供するので、さらなる注意を必要とするシステムの脆弱な領域に目を光らせることができます。

ManageEngine Patch Connect Plus は 30 日間の無料トライアルを提供しています。 また、クラウドまたはオンプレミスでデモを試すことができます。

トップへ戻る

1. Kaseya VSA

Kaseya VSAは、ネットワークデバイス、パッチおよびアップデートマネジメント、ネットワークモニタリング、ウイルスおよびマルウェアスキャン、監査およびバックアップのリモートコントロール機能による完全なリモートモニタリングおよびネットワークマネジメントツールです。

Kaseya VSAのパッチマネジメントコンポーネントは、ネットワーク内のすべての関連デバイスのパッチステータスの完全な概観を提供し、責任範囲内をカバーします。 また、パッチを展開し、ソフトウェアメンテナンスを自動化するツールも含まれています。

単一のダッシュボードでネットワーク全体のパッチステータスを見ることができるので、どのアプリケーションがアップデートを必要とし、どれが特に攻撃に対して脆弱なのかを容易に判断できます。 また、スキャンと分析機能を使用して、定期的なスケジュールまたは必要に応じて、ネットワークの完全なスキャンを実行し、スキャンと更新を自動的に実行することができます。

Kaseya VSAパッチマネジメントツールの注目すべき特徴の1つは、”ポリシープロファイル “を使用していることです。 これらのプロファイルは、標準化し、ネットワークに適合するように拡張できるルールを作成し、すべてのアップデートに対して、承認、拒否、またはマシンの関連付けを提供する能力を備えています。 これらのルールは事前に設計しておき、更新プロセスを実行する際に適用することができます。

Policy Profiles に加えて、「Override Profiles」によって、マシンのグループに対する特定のアップデートをブロックしたり、特定のパッチの適用を拒否したりすることができます。 ポリシーとオーバーライドプロファイルの組み合わせを使用すると、アップデートとパッチ適用のための包括的なシステムを作成できます。

Kaseya VSAは、デバイスがネットワークに接続されていない場合、WSUSで動作し、その場合、WSUS .CABデータファイルを使用します。 この.CABファイルには、優先度の高いアップデートとサービスパックが含まれています。

Kaseya VSAの主な欠点の1つは、事前にテストされたパッチまたはパッチテスト機能を提供しないことです。 さらに、パッチの優先順位付けもできませんし、コンプライアンス管理のレポートも提供しません。 これらの制限を念頭に置いて、Kaseya VSA は、より大きなネットワークモニタリングソリューションの一部として基本的なパッチマネジメントを探しているのであれば、良いツールです。

1. PDQ Deploy

PDQ Deployは以前Admin Arsenalとして知られていた会社によって作られたWindowsアップデートツール代替ツールです。 創設者たちは、IBM Tivoli Management Framework と Microsoft SCCM をサポートする他の企業で働きはじめました。 彼らは、中小企業に適したツールを作成し、その後、企業レベルまで再び拡大しました。

PDQ Deploy は、最小限の労力で Windows PC を最新の状態に保つように設計されたソフトウェア展開ツールです。 SCCMを通じて、あらゆるWindowsパッチやアプリケーションを、すべてのWindows PCに同時に配備することができます。 パッチやプログラムのインストールやアンインストール、PCの再起動、スクリプトの実行、PCのスリープ、ファイルのコピー、メッセージや指示の送信などを行うことができます。 展開が終了すると、ツールは展開と実行に関するレポートを生成します。

PDQ Deploy を PDQ Inventory とともに使用する場合、更新をダウンロードして自動的に適用するスケジュールを設定することができ、また、以前スリープしていたデバイスが再びオンラインになったときにすべての更新とパッチを自動的に継続するように設定することが可能です。 また、PDQ Inventoryを設定することで、一度デプロイが行われると、ツールが自動的にネットワークをスキャンし、インベントリを更新するようにすることもできます。 パッチ管理の面で追加されるものを考えると、PDQ Inventory が PDQ Deploy と一緒に提供されないのは少し不便です。

PDQ Deploy では、パッチ プロセスを制御するために独自のスクリプトを作成および実行することができ、これには .vbs, reg, .bat, .ps1 形式でのスクリプトが含まれています。 また、単にデフォルトの機能を使用することもできます。 このツールには、簡単にダウンロードできる175のサードパーティ製アプリケーションのライブラリが含まれており、これらのアプリケーションのアップデートを統合するため、アップデートがリリースされると、できるだけ早く利用できるようになります。 また、PDQ Deployでは、メールによる通知を受け取ることができるので、デプロイが成功したかどうかを追跡することができます。 リストは広範囲にわたりますが、広く使用されているプログラムのいくつかは、何らかの理由で含まれていません。

PDQ Deploy を 14 日間無料で試用するか、機能を制限した無料版をダウンロードすることが可能です。 エンタープライズライセンスは、管理者単位で利用可能です。 PDQ DeployとPDQ Inventoryの両方を購入すると、管理者あたりのコストは倍になります。

Back to top

1. Ivanti PatchLink

PatchLink by Ivantiは企業レベルでのセキュリティを重視した代替WSUSパッチ管理と適用ツールです。 Ivantiは、2017年に2つの小さな会社が合併してできた会社で、そのうちの1つは以前IBMが所有していたものです。 同社のソフトウェアはよく知られており、特にパッチ管理やエンタープライズ・サービス管理の分野で提供されています。

PatchLinkツールは、バグのあるソフトウェアやパッチが適用されていない問題によってネットワークにセキュリティの脆弱性が生じるのを防ぐために設計されています。 便利なコア機能を持ち、SCCM とうまく統合して、SCCM コンソールを介して Windows とサード パーティ製アプリケーションの両方にパッチを適用する、より簡単な方法を提供します。 Ivanti PatchLink を使用すると、サード パーティ製のアプリケーションにパッチを適用する際に通常必要となる多くの手順を省略できます。

PatchLink で利用できるパッチはすべて事前にテストされているため、安心して適用できます。 また、このツールの SCCM レポート機能により、パッチ適用プロセスに関する洞察を得ることができます。 SCCMに加え、PatchLinkはWSUSともリンクしています。 WSUSのアップデートを自動検出し、WSUSに公開されたすべての製品を表示・管理できるダッシュボードを搭載しています。

Ivanti PatchLinkは、利用可能なパッチを検索可能に表示し、ベンダー、製品、情報保証の脆弱性警告番号などの基準に基づくスマートなフィルタリングを提供します。 このフィルタリング機能により、パッチをすばやく検索し、システムに適用されているかどうかを判断することが容易になります。 さらに、企業のポリシーに準拠するために変更が必要な場合は、これらのパッチをカスタマイズできます。

パッチは、チェック、ダウンロード、新規または既存のソフトウェア更新グループへの追加、および自動公開が可能です。 また、コンプライアンス、監査、または配備前のスクリーニングの目的でパッチのメタデータを公開できるので、パッチ プロセス全体に関するきめ細かい情報を得ることができます。 同社は、このリストの他の企業ほど価格について透明ではありません。見積もりについては、同社の Web サイトからリクエストする必要があります。 彼らは 2011 年に設立され、BatchPatch は彼らが作る唯一のソフトウェアです。

BatchPatch は、単一のコンソールから多数のリモート Windows コンピュータにパッチや更新プログラムを同時にダウンロードおよび適用できる、高品質のツールです。 利用可能なすべての更新プログラムをインストールするか、または適用したい特定の更新プログラムを選択することができます。 また、サービスパック、ドライバーまたはツール、重要な更新プログラムなどのグループ化に基づいて、インストールする更新プログラムを決定することができます。 これらのカテゴリに基づいてパッチを選択できるため、プロセスを絞り込んで優先順位をつけることができます。 また、インターネット アクセスのないコンピューターに更新を適用する必要がある場合のオフライン モードも含まれています。

このツールには統合タスク スケジューラーが含まれており、選択した時間にパッチ ジョブまたはタスクを起動することができます。 1 つのパッチを次々にインストールするように設定したり、デバイスが再起動する前または後に実行するスクリプトを設定することにより、リモート ホスト上で順次実行されるようにジョブをスケジュールすることが可能です。 これにより、すぐに対応できないが、一連のタスクを実行する必要がある場合の計画を立てることができます。 また、BatchPatchを使用してリモートスクリプトを簡単に実行し、構成の変更をプッシュしたり、リモートデバイスに設定を適用することができます。

BatchPatch は、「ユーザー単位」の価格設定に基づき、年間ライセンスとサポートを提供します。 評価モデルを無料で試すことができますが、グリッド内で同時に 4 台までのターゲット ホストでしか動作しません。

Managed Service Providers 用のツール。 N-central と RMM

上記のツールは、さまざまなユースケースや業界に適合することが可能です。 しかし、マネージド サービス プロバイダーなどの場合は、ニーズに合わせて特に最適化されたツールの恩恵を受けるかもしれません。

N-central はパッチ管理ソリューションで、迅速かつシンプルな承認プロセスを通じて Windows 10 の更新プログラムを展開することが可能です。 さらに、自動化とレポート作成機能、および多数の他の機能が含まれており、多くのユニークなクライアント サイトにわたってアップデートを管理するのに役立ちます。 これは、さまざまなソフトウェアとともに、複数の OS の更新をサポートします。 この記事では、WSUS と SCCM を補完するパッチ管理ソリューションをお探しの場合でも、Microsoft WSUS の完全な代替として機能するツールをお探しの場合でも、WSUS の最適な代替ツールを紹介します。 私が選んだ無料のソリューションは、SolarWinds WSUS クライアント診断ツールで、基本的なレベルでは素晴らしい機能を備えています。 ビジネスが小規模または中規模の場合、この無料のWSUS代替ツールで十分だと思うかもしれません。 しかし、多くのサードパーティアプリケーションを使用している場合、エンタープライズレベルのパッチ管理ツールに投資することで、時間とエネルギーを大幅に節約することができます。

企業レベルでは、前述のセキュリティ、コンプライアンス、およびパフォーマンスの目的のために、更新とパッチを管理された方法で処理する必要があります。 他の懸念事項の中でも、帯域幅の管理と更新のタイミングを適切に行うことにもっと注意を払う必要があり、都合の悪い時にネットワーク全体をスローダウンさせる危険性があります。 SolarWinds Patch Managerのような高品質のツールを導入することは、パッチマネジメントプロセスを制御するための最良の方法です

。